feat(core): enrich hardcoded system prompts in container templates

Update the code-embedded system prompts that are injected into
CLAUDE.md, AGENTS.md, and GEMINI.md when docker-git containers start.

Extracts shared behavioral instructions into a new
system-prompt-content.ts module and injects them into all three
agent templates (claude, codex, gemini).

New prompt sections based on issues #96, #101, #78, #41, #54, #92, #90:
- Isolated environment awareness
- Instrumental behavior (execute, don't guide)
- Deep Research process rule
- Mandatory subagent delegation with plan mode
- Mandatory response contract (status, root cause, changes, verification)
- Proof of execution requirements in PRs
- Public API usage (no localhost URLs)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

Author: konard

packages/app/tests/docker-git/entrypoint-auth.test.ts

@@ -79,12 +79,10 @@ describe("renderEntrypoint auth bridge", () => {
       expect(entrypoint).toContain("CLAUDE_GLOBAL_PROMPT_FILE=\"/home/dev/.claude/CLAUDE.md\"")
       expect(entrypoint).toContain("CLAUDE_AUTO_SYSTEM_PROMPT=\"${CLAUDE_AUTO_SYSTEM_PROMPT:-1}\"")
       expect(entrypoint).toContain("docker-git-managed:claude-md")
-      expect(entrypoint).toContain(
-        "SUBAGENTS_LINE=\"Для решения задач обязательно используй subagents. Сам агент обязан выполнять финальную проверку, интеграцию и валидацию результата перед ответом пользователю.\""
-      )
-      expect(entrypoint.split("Для решения задач обязательно используй subagents.").length - 1).toBeGreaterThanOrEqual(
-        2
-      )
+      expect(entrypoint).toContain("BEHAVIOR_BLOCK=")
+      expect(entrypoint).toContain("SUBAGENTS (ОБЯЗАТЕЛЬНО):")
+      expect(entrypoint).toContain("ОБЯЗАТЕЛЬНЫЙ КОНТРАКТ ОТВЕТА:")
+      expect(entrypoint).toContain("DEEP RESEARCH:")
       expect(entrypoint).toContain("token=\"${GITHUB_TOKEN:-}\"")
       expect(entrypoint).toContain("token=\"${GH_TOKEN:-}\"")
       expect(entrypoint).toContain(String.raw`printf "%s\n" "password=$token"`)

packages/lib/src/core/templates-entrypoint/claude-extra-config.ts

@@ -1,4 +1,5 @@
 import type { TemplateConfig } from "../domain.js"
+import { systemPromptBehavior } from "./system-prompt-content.js"
 
 const entrypointClaudeGlobalPromptTemplate = String
   .raw`# Claude Code: managed global memory (CLAUDE.md is auto-loaded by Claude Code)
@@ -52,7 +53,7 @@ if [[ "$CLAUDE_AUTO_SYSTEM_PROMPT" == "1" ]]; then
 $CLAUDE_WORKSPACE_CONTEXT
 Фокус задачи: работай только в workspace, который запрашивает пользователь. Текущий workspace: __TARGET_DIR__
 Доступ к интернету: есть. Если чего-то не знаешь — ищи в интернете или по кодовой базе.
-Для решения задач обязательно используй subagents. Сам агент обязан выполнять финальную проверку, интеграцию и валидацию результата перед ответом пользователю.
+__SYSTEM_PROMPT_BEHAVIOR__
 Если ты видишь файлы AGENTS.md или CLAUDE.md внутри проекта, ты обязан их читать и соблюдать инструкции.
 <!-- /docker-git-managed:claude-md -->
 EOF
@@ -79,6 +80,7 @@ export const renderClaudeGlobalPromptSetup = (config: TemplateConfig): string =>
     .replaceAll("__SSH_USER__", config.sshUser)
     .replaceAll("__REPO_REF_DEFAULT__", escapeForDoubleQuotes(config.repoRef))
     .replaceAll("__REPO_URL_DEFAULT__", escapeForDoubleQuotes(config.repoUrl))
+    .replaceAll("__SYSTEM_PROMPT_BEHAVIOR__", systemPromptBehavior)
 
 export const renderClaudeWrapperSetup = (): string =>
   String.raw`CLAUDE_WRAPPER_BIN="/usr/local/bin/claude"

packages/lib/src/core/templates-entrypoint/codex.ts

@@ -1,4 +1,5 @@
 import type { TemplateConfig } from "../domain.js"
+import { systemPromptBehavior } from "./system-prompt-content.js"
 
 export { renderEntrypointCodexResumeHint } from "./codex-resume-hint.js"
 
@@ -129,7 +130,7 @@ WORKSPACES_LINE="Доступные workspace пути: __TARGET_DIR__"
 WORKSPACE_INFO_LINE="Контекст workspace: repository"
 FOCUS_LINE="Фокус задачи: работай только в workspace, который запрашивает пользователь. Текущий workspace: __TARGET_DIR__"
 INTERNET_LINE="Доступ к интернету: есть. Если чего-то не знаешь — ищи в интернете или по кодовой базе."
-SUBAGENTS_LINE="Для решения задач обязательно используй subagents. Сам агент обязан выполнять финальную проверку, интеграцию и валидацию результата перед ответом пользователю."
+BEHAVIOR_BLOCK="__SYSTEM_PROMPT_BEHAVIOR__"
 if [[ "$REPO_REF" == issue-* ]]; then
   ISSUE_ID="$(printf "%s" "$REPO_REF" | sed -E 's#^issue-##')"
   ISSUE_URL=""
@@ -171,7 +172,7 @@ $WORKSPACES_LINE
 $WORKSPACE_INFO_LINE
 $FOCUS_LINE
 $INTERNET_LINE
-$SUBAGENTS_LINE
+$BEHAVIOR_BLOCK
 $MANAGED_END
 EOF
 )"
@@ -190,7 +191,7 @@ $WORKSPACES_LINE
 $WORKSPACE_INFO_LINE
 $FOCUS_LINE
 $INTERNET_LINE
-$SUBAGENTS_LINE
+$BEHAVIOR_BLOCK
 $MANAGED_END
 EOF
 )"
@@ -233,3 +234,4 @@ export const renderEntrypointAgentsNotice = (config: TemplateConfig): string =>
     "__SSH_USER__",
     config.sshUser
   ).replaceAll("__TARGET_DIR__", config.targetDir)
+    .replaceAll("__SYSTEM_PROMPT_BEHAVIOR__", systemPromptBehavior)

packages/lib/src/core/templates-entrypoint/gemini.ts

@@ -1,4 +1,5 @@
 import type { TemplateConfig } from "../domain.js"
+import { systemPromptBehavior } from "./system-prompt-content.js"
 
 // CHANGE: add Gemini CLI entrypoint configuration
 // WHY: enable Gemini CLI in Docker with automated auth, trust settings and MCP
@@ -272,7 +273,7 @@ cat <<EOF > "$GEMINI_MD_PATH"
 $GEMINI_WORKSPACE_CONTEXT
 Фокус задачи: работай только в workspace, который запрашивает пользователь. Текущий workspace: __TARGET_DIR__
 Доступ к интернету: есть. Если чего-то не знаешь — ищи в интернете или по кодовой базе.
-Для решения задач обязательно используй subagents. Сам агент обязан выполнять финальную проверку, интеграцию и валидацию результата перед ответом пользователю.
+__SYSTEM_PROMPT_BEHAVIOR__
 Если ты видишь файлы AGENTS.md, GEMINI.md или CLAUDE.md внутри проекта, ты обязан их читать и соблюдать инструкции.
 <!-- /docker-git-managed:gemini-md -->
 EOF
@@ -282,6 +283,7 @@ const renderEntrypointGeminiNotice = (config: TemplateConfig): string =>
   entrypointGeminiNoticeTemplate
     .replaceAll("__GEMINI_HOME__", config.geminiHome)
     .replaceAll("__TARGET_DIR__", config.targetDir)
+    .replaceAll("__SYSTEM_PROMPT_BEHAVIOR__", systemPromptBehavior)
 
 export const renderEntrypointGeminiConfig = (config: TemplateConfig): string =>
   [

packages/lib/src/core/templates-entrypoint/system-prompt-content.ts

@@ -0,0 +1,58 @@
+// CHANGE: extract shared system prompt content for all agents (claude, codex, gemini)
+// WHY: single source of truth for container-injected system prompt; avoids drift between agents
+// REF: issue-189 (unify system prompt from all issue requirements)
+// SOURCE: n/a
+// PURITY: CORE
+// INVARIANT: all agent templates reference the same behavioral instructions
+// COMPLEXITY: O(1)
+
+/**
+ * Behavioral instructions injected into every agent's system prompt file
+ * (CLAUDE.md, AGENTS.md, GEMINI.md) when a docker-git container starts.
+ *
+ * These lines are appended after the identity/workspace context block.
+ * They must be plain text (no unescaped shell variables or backticks).
+ *
+ * @pure true
+ * @invariant content is static text, no side effects
+ */
+// CHANGE: enriched prompt with requirements from issues #96, #101, #78, #41, #54, #92, #90, #4
+// WHY: user requested comprehensive system prompt based on all prompt-related issues
+// QUOTE(ТЗ): "Пройдись по всем моим Issues в которых я писал информацию об промте и составь мне системный промт"
+// REF: issue-189
+export const systemPromptBehavior = [
+  "Ты работаешь в изолированном контейнере. Все твои действия безопасны для хост-системы.",
+  "",
+  "ИНСТРУМЕНТАЛЬНОЕ ПОВЕДЕНИЕ:",
+  "- Не предлагай гайды вместо действий. Если можешь выполнить — выполни сам, затем сообщи что сделано.",
+  "- Всегда начинай с изучения задачи: состояние проекта, существующие паттерны, интеграционные точки.",
+  "- Всегда завершай верификацией: сборка, тесты, линтеры.",
+  "- Используй gh CLI для GitHub (issues, PR, CI) вместо браузера.",
+  "",
+  "DEEP RESEARCH:",
+  "В начале работы формулируй вопрос: \"I am looking for code that does <функциональность>, is there existing code?\"",
+  "Сперва ищи и переиспользуй существующие паттерны (минимальный корректный diff).",
+  "",
+  "SUBAGENTS (ОБЯЗАТЕЛЬНО):",
+  "- Разбивай крупные задачи на подзадачи и делегируй их параллельно через subagents.",
+  "- Сам агент выполняет финальную проверку, интеграцию и валидацию результата.",
+  "- При клонировании нового проекта — запускай plan mode: изучи Issues, кодовую базу, сформируй план в PR.",
+  "",
+  "ОБЯЗАТЕЛЬНЫЙ КОНТРАКТ ОТВЕТА:",
+  "Каждый ответ по задаче ОБЯЗАН содержать:",
+  "1. Статус: что именно сделано (конкретный результат)",
+  "2. Root Cause (для багов): корневая причина",
+  "3. Что изменено: список файлов и суть изменений",
+  "4. Верификация: как проверено (команды, тесты)",
+  "5. Где проверить: ссылка на PR, коммит, или команда",
+  "",
+  "PROOF OF EXECUTION В PR:",
+  "Каждый PR обязан содержать доказательства выполнения:",
+  "- UI/UX: скриншоты до/после",
+  "- API/Backend: вывод команд/тестов, HTTP коды",
+  "- Bugfix: воспроизведение до и подтверждение после",
+  "- Performance: метрики до/после",
+  "",
+  "ПУБЛИЧНЫЙ API:",
+  "- Никогда не давай localhost URL. Используй публичный адрес контейнера/сервиса."
+].join("\n")